Sécurité sur connection Wifi entre batiments

[Pyrithe]

Bonjour,

J'ai un projet à réaliser, que je vous expose:

Une maison a un accès internet (ADSL, livebox).
3 maisons à maximum 60 mètres autour sont emménagés en tant que gites ruraux.

On me demande d'offrir une connexion internet aux 3 gites, à partir de la ligne existante de la maison.
J'envisage donc de placer derrière la livebox un switch, puis sur ce switch, des points d'accès wifi.
Sur ces points d'accès, je connecterais des antennes de type Yagi, sur le toit, et les mêmes antennes en face, sur les toits des gites.
Je redescendrais ensuite de ces antennes par cpl je pense.

Ma question est:
Sauf erreur de ma part, avec des switchs simples, les connexions à partir des gites et de la maison principales seront sur le même réseau.
Par soucis de confidentialité, comment restreindre au maximum l'accès des gites aux ordinateurs de la maison principale?

Je pensais à mettre en place un serveur IPCop afin de gérer les réseaux, mais c'est peut être mettre en place une usine à gaz pour pas grand chose...
Peut être que simplement mettre un élément de routage sur cette architecture, afin de couper les réseaux serait plus intéressant?

Avez-vous des idées à me fournir??

[jdh]

Pour un site de l'entreprise, j'ai eu à mettre en place un réseau wifi entre 3 bâtiments (en décembre 2009).
Il s'agissait de fournir du réseau ainsi que la téléphonie en VoIP.

L'intégrateur téléphonique m'a proposé des (routeurs) Cisco Aironet 1310 (fonctionne en 54g).
L'angle bâtiment 1 (40m) - bâtiment central - bâtiment 2 (145m) était de 25°.
L'antenne est une antenne "plate" et directionnelle (mais acceptant cet angle).
Les antennes ont été placées sur poteau à environ 6m du sol : tenir compte de la zone de fresnel cf http://fr.wikipedia.org/wiki/Ellipso%C3%AFde_de_Fresnel
Le cryptage est en WPA-AES et les 3 routeurs sont en bridge.

J'étais un peu sceptique du fait de la distance, du débit (54Mb), et de l'utilisation de téléphone ip dans les bâtiments distants (avec vlan téléphonie).
Sans compter le côté propriétaire et le coût élevé de chaque routeur-antenne ...

J'ai été agréablement surpris : cela fonctionne très correctement (et sans coupure ni bruit pour la VoIp).


Je recommanderais donc
- observer les lieux et bien identifier les besoins réels (pratiques),
- configurer les routeurs wifi en pont et avec cryptage AES (plutôt que TKIP) (et avec clé longue et aléatoire),
- mettre en place un firewall avec WAN + LAN + WIFI (ou WIFI1/WIFI2 selon),
- ajuster des règles qui interdisent totalement WIFI vers LAN,
- désactiver le Wifi de la Livebox et installer un routeur Wifi interne si besoin.

Un firewall tel que pfSense sera aisé à mettre en oeuvre (et peut-être plus simple qu'Ipcop qui pourrait sans doute convenir).

J'ai réalisé pour une autre entreprise un point externe wifi avec routeur Dlink et antenne externe : c'est beaucoup (beaucoup) moins cher mais ce n'est pas un pont.
(Mais c'est forcément sur une carte dédiée du firewall ...)

[Pyrithe]

Tout d'abord, merci pour ton retour JDH.

En ce qui concerne ton installation, c'est effectivement un travail intéressant!
Par contre, clairement, en termes de coûts, on est en dehors du budget. C'est un "particulier" qui me demande ca, donc je ne peut pas proposer de routeur Cisco déjà...

Pour le matos, après avoir discuté avec mon fournisseur, voilà le matériel qu'il me préconise:
Derrière la livebox, je met un switch.
Sur ce switch, je met 3 points d'accès TP-Link (http://www.tp-link.com/products/product ... =tl-wa501g)
Sur ces points d'accès, je branche des antennes de type YAGI (+18dB ) que je monte sur le toit de la maison.
Sur chacun des gites, je remet une antenne sur le toit, mes choses avec les points d'accès, et je descend dans les pièces de vie par CPL. (ou je peux remettre une borne d'accès wifi? moins sur de ca...)

Pour le peu de portée, ce système devrait convenir.

Pour la sécurité par contre, j'ai un peu plus de mal avec ce que tu me dit. Déjà, ca m'oblige à prendre du gros matos, et ensuite, c'est uniquement pour protéger l'accès aux données personnelles dans la maison d'habitation...

[ccnet]

Il va falloir choisir entre la facilité (d'installation, d'exploitation) et les besoins.
Dans cette préconisation je ne vois aucun firewall ? La livebox n'est pas suffisante du tout pour quelque chose d'un peu sérieux.

Reste un problème législatif. Il devrait y avoir un proxy ! Votre client est censé devoir loguer l'activité des personnes qu'il héberge et a qui il fourni un accès internet.

Les machines de votre client ne seront pas protégées de celles des personnes qu'il héberge. A vous de voir.

[Pyrithe]

Ce n'est pas la simplicité d'installation que je vise, mais une aspiration à un budget acceptable pour un particulier.
Après, si on entre dans du matériel et de la config conséquente, je vois 3 points délicats:
1) Le budget qui va exploser
2) La maintenance (plus on multiplie les éléments "actifs" et plus la maintenance devient un poids (et un coût))
3) Le sentiment "d'industrialisation", et donc de vol, de la part du client qui demande quelque chose de simple.

Par contre, n'y vois aucune agressivité, c'est simplement un avis qu'aura surement le client, que j'expose ici.


Bon, si on fait abstraction de tout ca, je vois que la solution qui s'impose (enfin de mon point de vue, parce que je la connait un peu), s'appelle IPCop.
Ca me permet d'isoler mes réseaux en utilisant plusieurs cartes, d'installer un module de proxy, et bien sur constitue un firewall performant.

Tu partage ce point de vue?

Sinon question législation, as tu des sources en ce qui concerne la nécessité de conserver les logs? Ceci afin que je l'expose au client...

[jdh]

Pour le firewall, je pense qu'il serait judicieux de regarder pfSense. Il est probable que l'on ne revient pas en arrière ...


Suite à la livebox, il n'est pas possible de faire autrement que d'installer un firewall (comme ccnet ou moi le mentionnons). (Enfin si on est sérieux ...)

Pour le wifi, il y a 2 points de vue :
- arroser à partir de la maison avec une antenne (avec le risque de ne recevoir que face à l'antenne),
- créer un pont et construire un réseau dans le gite (quitte à remettre un routeur wifi dans le gite).

Le schéma est de chaque côté :
ethernet (câble RJ45) <-> routeur <-> câble antenne <-> antenne extérieure

Il existe des câbles antenne de 3-5-15 mètres selon le besoin.

Pour 2 gites, je compte
- maison : firewall 3 cartes eth + switch + routeur wifi "simple" + routeur + câble + antenne : ~300-400€ hors pose, hors config, hors pc firewall
- gite x2 : antenne + câble + routeur wifi + switch + routeur wifi "simple" : ~350-400€ hors pose, hors config
On ne va pas être loin du billet de 1500€ ...

Les marques Dlink, Netgear ou effectivement Tplink proposent des matériels pouvant convenir ...
Reste à les configurer ...

[Pyrithe]

Le matériel que je cite ne va pas? En quoi est ce que ca n'irait pas alors?
(Je sais je suis $%#&!, mais j'aime comprendre les choses, pour avancer clairement)

Et tu dis "Pour le firewall, je pense qu'il serait judicieux de regarder pfSense. Il est probable que l'on ne revient pas en arrière ..."
Tu veux dire qu'IPCop n'est plus de ce monde???

[jdh]

Pour le firewall, je pense que les admins d'Ipcop qui essaient pfSense ne reviennent pas en arrière.
Mais c'est affaire personnelle : celui qui a 5 ans d'Ipcop et qui y est à l'aise continuera avec Ipcop.
Il n'empêche pfSense a intrinsèquement plus de possibilités : il est plus complet dans plusieurs domaines : vpn, filtrage, ...


Pour les routeurs wifi, je voterai pour un constructeur économique comme Dlink, Netgear ou Tp-Link.
Avec, encore une fois, le constructeur avec lequel je suis à l'aise.
Le produit indiqué doit/peut/pourrait convenir : il y a, dans sa description, les mots clés que j'attendrai si j'avais à faire la mission.


(j'ai peut-être sous-estimé le cout d'une antenne extérieure ...)

[Pyrithe]

Oui, les antennes extérieurs que je prévoyaient coûtent 76€ HT pièce...

Pour ce qui est des mots clé que tu attendait, c'était quoi? Le support du Bridge?

Donc si je résume on aurait:
Dans la maison "SOURCE":

Une Livebox --> Un Switch --> 2 Point d'accès TP-Link --> 2 Antenne YAGI ))))

Dans chacun des "GITES":

(((( Antenne YAGI <-- Point d'accès TP-Link <-- CPL <-- Prise murale Ethernet


Dans ce cas de figure, où est ce que je vais positionner idéalement mon Firewall?
Concernant ma config IP, vous verriez le découpage comment?
Et dans les Gites, est ce qu'il va être possible de remplacer les prises murales ethernet par un accès wifi?? De plus, il faudra donc interdire l'accès par Wifi direct aux antennes YAGI...

[Titofe]

Dans ce cas de figure, où est ce que je vais positionner idéalement mon Firewall?

Une Livebox --> Firewall --> Un Switch --> 2 Point d'accès TP-Link --> 2 Antenne YAGI ))))

Et dans les Gites, est ce qu'il va être possible de remplacer les prises murales ethernet par un accès wifi??

Comme là dit jdh, il n'y a aucun souci à utilisé en plus une borne wifi pour l'intérieur.

Sinon, je suis jdh pour pfSense comme firewall, je suis un ancien "admin" et utilisateur de 4 IPCop, pour faire simple, IPCop ma mi le pied à l'étrier, mais maintenant que je suis passer à pfSense je ne suis pas près de faire marche arrière.

[jibe]

Salut,

Juste deux petites choses :

1 - Je pense que ça vaut la peine de faire un essai en CPL entre les différents bâtiments ou au moins d'étudier cette possibilité. En effet, il y a de fortes chances que cela fonctionne si :
- Il n'y a pas de transfo entre les bâtiments (s'ils sont proches, ce serait étonnant !)
- Ils sont sur la même phase (ce qui n'est pas prouvé pour des questions d'équilibrage, mais reste tout à fait possible)
Penser que si ça ne fonctionne pas pour un des gîtes, ça peut quand même marcher pour l'autre, ce serait toujours ça de gagné
Penser aussi, avant d'abandonner, à vérifier si par hasard le triphasé n'arriverait pas au compteur (tant dans la maison "source" que dans les gîtes) : ce n'est pas exceptionnel à la campagne, et ça permettrait de se brancher sur la même phase.

2 - Comme l'a dit jdh, il serait bon de séparer les gîtes. Donc, de mettre un firewall à plusieurs cartes LAN... ce qui dans le schéma tel qu'il est donné pourrait tout simplement remplacer le switch

Code: Tout sélectionner

                        (LAN 1) CPL ---> Gîte1
                      /
Livebox ---> Firewall ---> (LAN 2) CPL ---> Gîte2

[Pyrithe]

Bonjour, je tiens d'abord à remercier tout le monde, pour ces idées et débats très précieux, et intéressants.

Concernant le Firewall, j'avais mis en place 4 Firewall IPCop à une époque, dont 2 tournent toujours je crois. J'avais fait du VPN entre eux, ils faisaient aussi du filtrage. C'est pour ca que je me tournais vers cette petite distro très sympa.
Pour pfSense, à l'utilisation, maintenance, c'est un peu la même chose?

Sinon dans ce schéma, on utilise donc le firewall comme routeur, entre les différentes carte, c'est ca? Avec pfSense, ca se passe un peu comme IPCop avec ses systèmes de "Vert-Bleu-Rouge"?

Pour le CPL, je n'ai pas trop d'expérience, et je ne suis clairement pas électricien. Je sais seulement que les gites ont un compteur indépendant chacun. Si le Triphasé les déssert, on peut quand même arriver à utiliser une phase commune??

[ccnet]

Pour pfSense, à l'utilisation, maintenance, c'est un peu la même chose?

Oui, même plus simple parce que beaucoup de fonctionnalités natives alors qu'ipcop nécessite des addons.

Avec pfSense, ca se passe un peu comme IPCop avec ses systèmes de "Vert-Bleu-Rouge"?

Oui pour Lan et Wan où le fonctionnement de base est très similaire. Pour les autres interfaces c'est beaucoup plus souple. Leur rôle n'est pas figé comme dans ipcop. C'est plus souple. Comme dans ipcop tout le routage de base est en place.

[Pyrithe]

D'accord, je vais mieux me renseigner sur pfSense alors, je vais suivre votre conseil, autant se mettre au goût du jour...

Et en ce qui concerne le CPL?

[ccnet]

Transparent d'un point de vue couche de liaison donc pour Pfsense c'est un lien ethernet ordianire.